Группа анализа угроз Google (TAG) определила итальянского поставщика RCS Lab как создателя шпионского ПО, разрабатывающего инструменты, используемые для использования уязвимостей нулевого дня для атак на пользователей мобильных устройств iOS и Android в Италии и Казахстане.

Согласно сообщению в блоге Google, опубликованному в четверг, RCS Lab использует комбинацию тактик, в том числе нетипичные загрузки в качестве начальных векторов заражения. Согласно сообщению, компания разработала инструменты для слежки за личными данными целевых устройств.

Базирующаяся в Милане RCS Lab утверждает, что у нее есть дочерние компании во Франции и Испании, и на своем веб-сайте перечислила европейские правительственные учреждения в качестве своих клиентов. Он утверждает, что предоставляет «передовые технические решения» в области законного перехвата.

Компания не была доступна для комментариев и не ответила на запросы по электронной почте. В заявлении для Reuters RCS Lab заявила: «Сотрудники RCS Lab не подвергаются воздействию и не участвуют в каких-либо действиях, осуществляемых пострадавшими клиентами».

На своем веб-сайте фирма рекламирует, что предлагает «комплексные услуги законного перехвата, при этом только в Европе ежедневно обрабатывается более 10.000 XNUMX перехваченных целей».

TAG Google, со своей стороны, заявил, что наблюдал шпионские кампании с использованием функций, которые он приписывает RCS Lab.Кампании исходят из уникальной ссылки, отправляемой цели, которая при нажатии пытается заставить пользователя загрузить и установить вредоносное ПО. приложение на устройствах Android или iOS.

По словам Google, в некоторых случаях это делается путем работы с интернет-провайдером целевого устройства, чтобы отключить подключение к мобильным данным. После этого пользователь получает ссылку на скачивание приложения через SMS, якобы для восстановления подключения к данным.

По этой причине большинство приложений выдают себя за приложения мобильных операторов. Когда участие интернет-провайдера невозможно, приложения маскируются под приложения для обмена сообщениями.

Загрузки в машину разрешены

По словам Google, метод «вождения по разрешению», определяемый как загрузки, которые пользователи разрешают, не понимая последствий, является повторяющимся методом, используемым для заражения устройств iOS и Android.

По словам Google, iOS RCS Player следует рекомендациям Apple по распространению собственных приложений на устройствах Apple. Он использует протоколы ITMS (IT Management Suite) и подписывает приложения, несущие полезную нагрузку, сертификатом 3-1 Mobile, итальянской компании, участвующей в программе Apple Developer Enterprise Program.

Полезная нагрузка iOS разделена на несколько частей, использующих четыре общеизвестных эксплойта: LightSpeed, SockPuppet, TimeWaste, Avecesare и два недавно выявленных эксплойта, известных внутри компании как Clicked2 и Clicked 3.

Android drive-by полагается на то, что пользователи разрешают установку приложения, которое маскируется под законное приложение с официальным значком Samsung.

Чтобы защитить своих пользователей, Google внесла изменения в Google Play Protect и отключила проекты Firebase, используемые в качестве C2, методов управления и контроля, используемых для связи с затронутыми устройствами. Кроме того, Google включил в сообщение несколько индикаторов компрометации (IOC), чтобы предупредить жертв Android.

© 2022 IDG Communications, Inc.

Поделиться